Является ли пользователь подал имя файла заголовка в PHP уязвимости безопасности?

Question

Я хочу динамически генерировать загружаемый текстовый файл с PHP, содержащий только хэш-строку md5.

Использование: index.php? Имя_файла = myhash.txt & хэш = 8145c8f6d42fda2c3cfdd1d091bcb331

$filename = isset($_GET["filename"]) ? $_GET["filename"] : "md5.txt"; 
$hash = (isset($_GET["hash"]) && preg_match('/^[a-f0-9]{32}$/', $_GET["hash"])) ? $_GET["hash"] : ""; 

header("Content-type: text/plain"); 
header("Content-Disposition: attachment; filename=$filename"); 
echo $hash; 

Моя проблема заключается в $filename используется в заголовке, который каждый может изменить. Является ли это уязвимостью безопасности?

Answer 1

Я уверен, что у этого нет никаких проблем с безопасностью, но вставьте общее заявление о том, как трудно доказать отрицательный результат.

Вы не используете имя файла для доступа к файловой системе своего сервера, поэтому вы не уязвимы для атак на включение файлов.

---

ограничить то, что содержимое файла может быть, поэтому пользователи должны быть защищены от обмана в загрузке скриптов, но давайте рассмотрим гипотетический все равно:

Учитывая язык программирования, в котором программа могут быть записаны с использованием только символов, которые соответствуют [a-f0-9] (что означает отсутствие пробелов), а программа может быть записана на 32 из этих символов, тогда злоумышленник может создать URL-адрес, который, как представляется, находится на вашем сайте (и, следовательно, заслуживает доверия), что вызывает файл под названием something.xyz для загрузки. (Для значения xyz, который зарегистрирован как расширение файла для скриптов, написанных на этом языке.) Это приведет к загрузке программы злоумышленника туда, где пользователь может дважды щелкнуть по ней и выполнить ее.

Это очень маловероятный случай для начала, и современные ОС отлично подходят для загрузки загружаемых файлов, требуя «Вы уверены, что хотите выполнить это?». так что это серьезный вопрос.

Чтобы быть параноидальным, вы можете ограничить имя файла тегами с .txt или .md5 расширениями.

---

Специальные символы могли быть вопрос, но я не могу думать ни о том, что будет риск в безопасности. Если, например, в имя файла была введена новая строка, то современные версии PHP, скорее всего, выкинули бы что-то по строкам:

Предупреждение: заголовок может содержать не более одного заголовка, обнаружена новая строка в /Users/david/tmp/hfjkljiwe/index.php в строке 4

... и не позволяет сценарию выводить заголовок содержимого.

Не запускайте old versions of PHP, установите установленные исправления безопасности!

---

С другой стороны, браузеры, вероятно, принять имя файла, что файловая система они пишут, чтобы собирается бросить шаткий над нет.

---

Это говорит, паранойя никогда никому никакого вреда, когда он пришел к написанию безопасного программного обеспечения (особенно, когда он должен взаимодействовать с другим программным обеспечением - программного обеспечения содержит ошибки), так что добавление некоторых ограничений на то, что персонажи разрешено в имени файла, не будет плохой идеей.

Answer 2

Насколько я могу судить, вы теоретически в порядке, чтобы это сделать; так как вы никогда не получаете доступ к файлам на своем сервере, никто не может сделать ничего отрицательного на вашем сервере. Однако потенциально можно указать недопустимое имя файла для своей ОС, и я не совсем уверен, что произойдет. Учитывая, что он будет открывать диалог загрузки в любом случае, кажется, что безопаснее позволять им вводить имя файла в то время, а не позволять им вводить его заранее.